A Comissão de Ciência, Tecnologia, Inovação e Informática (CCT) aprovou nesta quarta-feira (6) proposta que caracteriza novos crimes cibernéticos, aumenta punições e cria tipos penais específicos para ataques contra dados e sistemas informáticos. Entre as alterações legais propostas, está a tipificação da interferência em dados de sistemas, com pena de reclusão de 2 a 5 anos e multa. O PL 613/2021 segue para análise da Comissão de Constituição e Justiça (CCJ).
Do senador Marcos do Val (Podemos-ES), o projeto altera o Código Penal para atualizar a legislação sobre crimes cibernéticos, ampliar a descrição das condutas punidas e criar novos tipos penais relacionados a ataques contra dados e sistemas informáticos. A matéria recebeu voto favorável do relator, senador Astronauta Marcos Pontes (PL-SP).
Para o relator, é necessário dar aos órgãos públicos responsáveis pela investigação e pela persecução penal instrumentos jurídicos adequados para lidar com crimes cibernéticos.
— A proposta atualiza a legislação penal no sentido de dar uma descrição mais precisa às condutas e de prever penas mais adequadas para enfrentar o vertiginoso crescimento das estatísticas relativas aos crimes cibernéticos.
Acesso ilegal
Pelo texto, passa a ser crime acessar, de qualquer forma, sem autorização legal ou do titular, sistema informático, com ou sem violação de mecanismo de segurança. A mesma regra vale para quem instalar vulnerabilidades com o objetivo de obter vantagem ilícita. A pena prevista é de detenção de 1 a 3 anos e multa.
Também incorrerá na mesma pena quem produzir, oferecer, distribuir, vender ou difundir dispositivo ou programa de computador com o objetivo de permitir o acesso ilegítimo a sistema informático.
Se o acesso resultar na obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas ou controle remoto não autorizado do dispositivo invadido, a pena será de reclusão de 2 a 4 anos e multa, caso a conduta não configure crime mais grave.
A pena poderá ser aumentada de um a dois terços se houver divulgação, comercialização ou transmissão a terceiros das informações obtidas indevidamente. Haverá aumento de um terço à metade quando o crime for cometido contra chefes do Poder Executivo, presidentes de casas legislativas, presidente do Supremo Tribunal Federal ou dirigentes máximos da administração pública direta e indireta.
Novos crimes
O projeto também define crimes específicos para ataques contra dados e sistemas. Um deles é a “interferência em dados de sistema informático”, definida como obter, adulterar ou destruir, de forma intencional e indevida, sem autorização legal ou do titular, dados ou informações de sistema informático. A pena prevista é de reclusão de 2 a 5 anos e multa.
Outra conduta tipificada é a “interferência em sistema informático”, que ocorre quando alguém interfere, intencional e indevidamente, no funcionamento de sistema informático por meio de introdução, transmissão, eliminação, deterioração, modificação ou supressão de dados. A pena também será de reclusão de 2 a 5 anos e multa.
A proposta ainda tipifica a “burla informática”, que envolve a obtenção de vantagem ilícita por meio da introdução, alteração, eliminação ou supressão indevida de dados ou informações em sistema informático, ou por qualquer intervenção indevida no funcionamento do sistema. A pena será de reclusão de 2 a 5 anos e multa, se o fato não constituir crime mais grave.
Também passa a ser crime a “falsidade informática”, caracterizada pela introdução, alteração, eliminação ou supressão de dados, de forma indevida ou mediante fraude, para produzir dados não autênticos com a finalidade de que sejam considerados ou utilizados como verdadeiros para fins legais. Nesse caso, a pena prevista é de reclusão de 3 a 6 anos e multa, se o fato não constituir crime mais grave.
O texto cria ainda o crime de “uso abusivo de dispositivo ou dado informático”. A conduta inclui produzir, vender, obter, possuir, importar ou distribuir, para a prática de crimes cibernéticos, dispositivo ou programa informático, senha, código de acesso ou qualquer outro dado que permita acessar sistema informático. A pena será de reclusão de 1 a 3 anos e multa.
As penas poderão ser aumentadas de um a dois terços quando os crimes forem cometidos contra a administração pública, contra concessionárias de serviços públicos ou quando resultarem em prejuízo econômico.
Sistemas offline
O projeto define o que deve ser considerado sistema informático e dado informático para aplicação da lei. Também estabelece que, para caracterizar os crimes, não importa se o sistema está ou não conectado à internet.
A proposta determina ainda que a apuração desses crimes dependerá de representação da vítima, salvo quando forem cometidos contra a administração pública ou contra concessionárias de serviços públicos.
Ameaças digitais
Marcos do Val cita os ataques aos sistemas do Superior Tribunal de Justiça (STJ) e do Tribunal Superior Eleitoral (TSE) para defender a atualização da legislação sobre crimes cibernéticos. Segundo o autor, o aperfeiçoamento também decorre de exigência da Convenção de Budapeste sobre o Crime Cibernético, atualmente em análise no Congresso Nacional.
No parecer, Astronauta Marcos Pontes cita levantamento da empresa FortiGuard Labs, segundo o qual houve 103,16 bilhões de tentativas de ataques cibernéticos no Brasil em 2022, alta de 16% em relação ao ano anterior.
O relator também menciona que 73,9% dos crimes cibernéticos no mundo são motivados pela busca de ganhos financeiros. Entre esses crimes, destaca o chamado ransomware, modalidade de ataque em que o invasor impede o acesso da vítima a seus próprios dados ou sistemas e exige pagamento para restabelecê-lo.
Fonte: Senado Federal